張 聞，孫 歆

（浙江省電力試驗(yàn)研究院，杭州 310014）

0 引言

隨著信息科學(xué)和計(jì)算機(jī)科學(xué)的發(fā)展，信息安全越來越受到人們的關(guān)注，并成為與政治安全、文化安全、經(jīng)濟(jì)安全并列的國家四大安全之一。國家電網(wǎng)公司推出了一系列舉措確保信息安全，如內(nèi)外網(wǎng)隔離、使用安全移動(dòng)介質(zhì)、安全桌面管理系統(tǒng)等，但如何衡量安全措施起到的防護(hù)效果、如何判斷系統(tǒng)是否存在風(fēng)險(xiǎn)等問題還有待解決。信息安全風(fēng)險(xiǎn)評(píng)估正是解決這些問題的有效手段，是對信息系統(tǒng)存在的風(fēng)險(xiǎn)進(jìn)行識(shí)別并確認(rèn)風(fēng)險(xiǎn)大小的過程。

本文介紹了一種適合浙江省電力系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估的方法。該方法借鑒了OCTAVE信息安全評(píng)估方法，以《信息安全風(fēng)險(xiǎn)評(píng)估指南》和《國家電網(wǎng)公司信息安全評(píng)估實(shí)施指南》為依據(jù)，參照國內(nèi)外一些信息安全標(biāo)準(zhǔn)，如ISO 13335，ISO 27001，BS7799等，結(jié)合浙江省電力系統(tǒng)相關(guān)單位信息系統(tǒng)的實(shí)際情況，制定了一套風(fēng)險(xiǎn)評(píng)估的方法和流程，為電力信息安全評(píng)估工作提供參考。

1 評(píng)估內(nèi)容

參考OCTAVE評(píng)估方法，以國家和國家電網(wǎng)公司的2個(gè)風(fēng)險(xiǎn)評(píng)估指南為依據(jù)，電力信息安全風(fēng)險(xiǎn)評(píng)估的基本過程為：通過資產(chǎn)評(píng)估、威脅評(píng)估、脆弱性評(píng)估和已有安全措施評(píng)估進(jìn)行風(fēng)險(xiǎn)計(jì)算和分析，從而提出安全處置方案以及建議。

2 評(píng)估流程與方法

按照風(fēng)險(xiǎn)評(píng)估內(nèi)容，制定信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施步驟和細(xì)則，詳細(xì)列出每個(gè)評(píng)估階段所要做的工作和技術(shù)細(xì)節(jié)。評(píng)估實(shí)施步驟流程見圖1。

圖1 信息安全風(fēng)險(xiǎn)評(píng)估流程

2.1 啟動(dòng)準(zhǔn)備

在啟動(dòng)準(zhǔn)備階段，由評(píng)估方和被評(píng)估方共同召開啟動(dòng)會(huì)，確定評(píng)估目標(biāo)和范圍，制定評(píng)估計(jì)劃。主要工作內(nèi)容如下：

（1）啟動(dòng)會(huì)需要有被評(píng)估方高層領(lǐng)導(dǎo)人出席，并動(dòng)員本單位人員做好配合工作。

（2）被評(píng)估方要準(zhǔn)備資產(chǎn)清單和網(wǎng)絡(luò)拓?fù)淝闆r，向評(píng)估方介紹本單位的網(wǎng)絡(luò)結(jié)構(gòu)、各類信息系統(tǒng)和安全防護(hù)的基本情況。

（3）被評(píng)估方確認(rèn)各系統(tǒng)的接口負(fù)責(zé)人和協(xié)調(diào)人，評(píng)估方確認(rèn)成員分工。

（4）雙方根據(jù)評(píng)估需求共同確認(rèn)評(píng)估目標(biāo)和范圍。

（5）評(píng)估方準(zhǔn)備好評(píng)估工具。

2.2 資產(chǎn)評(píng)估

資產(chǎn)評(píng)估是指對目標(biāo)系統(tǒng)進(jìn)行關(guān)鍵資產(chǎn)抽取和分類后，對關(guān)鍵資產(chǎn)的機(jī)密性（C）、完整性（I）和可用性（A）進(jìn)行賦值，并通過一定的算法計(jì)算出資產(chǎn)賦值的過程。

2.2.1 資產(chǎn)分類整理

由被評(píng)估方根據(jù)資產(chǎn)模板提交分類資產(chǎn)表，資產(chǎn)類型可分為：物理環(huán)境、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)、應(yīng)用系統(tǒng)、管理制度及其執(zhí)行文檔等。

2.2.2 CIA三性賦值

CIA三性賦值需要由評(píng)估雙方共同確定，將其劃分為若干個(gè)等級(jí)，等級(jí)數(shù)越多，賦值越精確，但工作量也會(huì)隨之加大。表1-3是三性賦值劃分為5個(gè)等級(jí)的賦值評(píng)判標(biāo)準(zhǔn)。

表1 機(jī)密性（C）賦值評(píng)判標(biāo)準(zhǔn)

表2 完整性（I）賦值評(píng)判標(biāo)準(zhǔn)

表3 可用性（A）賦值評(píng)判標(biāo)準(zhǔn)

2.2.3 資產(chǎn)等級(jí)劃分與賦值

依據(jù)對資產(chǎn)的機(jī)密性、完整性和可用性3個(gè)方面的賦值，經(jīng)過綜合評(píng)定得出資產(chǎn)的價(jià)值。因?yàn)椴煌M織對于安全三性的要求和重視程度有所不同，所以評(píng)定的標(biāo)準(zhǔn)也不盡相同。根據(jù)對安全三性的重視程度，分別對三性賦予不同的權(quán)重，最后加權(quán)得到資產(chǎn)的等級(jí)和賦值。資產(chǎn)賦值Hi的計(jì)算公式如下：

式中：ACi，AIi，AAi為某資產(chǎn)的CIA三性賦值，wC，wI，wA為三性的權(quán)重，可根據(jù)實(shí)際情況取值。

2.3 威脅評(píng)估

系統(tǒng)受到的威脅一般可以通過以下幾個(gè)方面來識(shí)別：

（1）查看IDS或者IPS等安全防護(hù)設(shè)備的日志，重點(diǎn)查看高危攻擊事件，并提取典型事件，與安全員一起分析原因，排除誤報(bào)。

（2）查看網(wǎng)絡(luò)管理軟件，檢查網(wǎng)絡(luò)設(shè)備和流量是否異常。

（3）查看操作系統(tǒng)、中間件和應(yīng)用系統(tǒng)的日志，檢查應(yīng)用系統(tǒng)是否有被攻擊的痕跡。

（4）對安全員進(jìn)行訪談，對歷史安全事件進(jìn)行調(diào)查和統(tǒng)計(jì)。

表4列出了浙江電力信息系統(tǒng)可能受到的各種威脅。

通過以上步驟匯總系統(tǒng)可能受到的威脅，并對各種威脅發(fā)生的可能性進(jìn)行賦值。賦值的評(píng)判標(biāo)準(zhǔn)見表5。

表5 威脅發(fā)生的可能性賦值標(biāo)準(zhǔn)

2.4 脆弱性評(píng)估

脆弱性評(píng)估的內(nèi)容包括技術(shù)和管理兩方面，技術(shù)方面包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全；管理方面包括組織架構(gòu)、人員管理、安全管理制度、運(yùn)維安全管理等。實(shí)施過程中，技術(shù)評(píng)估和管理評(píng)估可以同時(shí)進(jìn)行。技術(shù)評(píng)估的主要手段是實(shí)地查看和訪談、工具掃描、人工審計(jì)、滲透測試，管理評(píng)估的主要手段是訪談和查看文檔，找出脆弱點(diǎn)并對其賦值，賦值標(biāo)準(zhǔn)見表6。

表4 信息系統(tǒng)可能受到的威脅

表6 脆弱性評(píng)估賦值標(biāo)準(zhǔn)

已有的安全措施評(píng)估與威脅評(píng)估和脆弱性評(píng)估有很大關(guān)聯(lián)，所以可將措施評(píng)估穿插在脆弱性評(píng)估里同時(shí)進(jìn)行，并將安全措施的評(píng)估結(jié)果體現(xiàn)在威脅和脆弱性賦值中。

2.5 風(fēng)險(xiǎn)計(jì)算與分析

2.5.1 風(fēng)險(xiǎn)計(jì)算

根據(jù)浙江省電力公司的實(shí)際情況和國家電網(wǎng)公司的要求，可得出以下風(fēng)險(xiǎn)值計(jì)算公式：

式中：Rij為某項(xiàng)資產(chǎn)對應(yīng)的某個(gè)威脅和脆弱性的組合；H為該項(xiàng)資產(chǎn)的賦值；Vj為該組合的脆弱性賦值；Ti為該組合的威脅賦值?？紤]到浙江電網(wǎng)實(shí)行內(nèi)外網(wǎng)分開，受到外部攻擊的可能性大大降低，各種威脅已降低到比較低的范圍，所以該公式適當(dāng)弱化了威脅對風(fēng)險(xiǎn)的作用，強(qiáng)化了資產(chǎn)價(jià)值和脆弱性對風(fēng)險(xiǎn)的作用。風(fēng)險(xiǎn)賦值后應(yīng)對風(fēng)險(xiǎn)進(jìn)行定性的風(fēng)險(xiǎn)等級(jí)判斷，判斷標(biāo)準(zhǔn)見表7。

表7 風(fēng)險(xiǎn)等級(jí)判斷標(biāo)準(zhǔn)

由于某項(xiàng)資產(chǎn)的風(fēng)險(xiǎn)值為資產(chǎn)所具有的風(fēng)險(xiǎn)之和，由此可得到資產(chǎn)風(fēng)險(xiǎn)計(jì)算公式：R=ΣRij。

2.5.2 風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)分析是在對風(fēng)險(xiǎn)結(jié)果進(jìn)行排序的基礎(chǔ)上，結(jié)合系統(tǒng)的實(shí)際情況進(jìn)行不同層面的風(fēng)險(xiǎn)要素分析，提出風(fēng)險(xiǎn)處置方式。風(fēng)險(xiǎn)分析過程主要有以下幾個(gè)步驟：

（1）從多個(gè)角度對風(fēng)險(xiǎn)進(jìn)行排序，了解哪些資產(chǎn)的風(fēng)險(xiǎn)較大、哪些應(yīng)用系統(tǒng)的風(fēng)險(xiǎn)較大、哪些脆弱性會(huì)產(chǎn)生較大風(fēng)險(xiǎn)等。

（2）根據(jù)風(fēng)險(xiǎn)排序結(jié)果、技術(shù)層面的分析、可操作性、防護(hù)成本等，提出風(fēng)險(xiǎn)處置方式。最終采用的風(fēng)險(xiǎn)處置方式由評(píng)估雙方共同決定。

2.6 安全建議

安全建議報(bào)告應(yīng)包括以下幾個(gè)方面：

（1）對網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、主機(jī)、應(yīng)用、管理、現(xiàn)有安全措施等評(píng)估節(jié)點(diǎn)，根據(jù)相應(yīng)的風(fēng)險(xiǎn)處置方式提出安全防護(hù)措施的建議。

（2）對各種防護(hù)措施進(jìn)行關(guān)聯(lián)分析，確定實(shí)施的順序。

（3）從實(shí)施緊迫性、實(shí)施成本和實(shí)施周期等方面提出具體實(shí)施方案。

（4）對實(shí)施加固可能引入的風(fēng)險(xiǎn)進(jìn)行分析和說明。

2.7 評(píng)估過程中的風(fēng)險(xiǎn)控制

2.7.1 評(píng)估實(shí)施過程中存在的風(fēng)險(xiǎn)

風(fēng)險(xiǎn)評(píng)估過程本身也會(huì)引入一定風(fēng)險(xiǎn)，如果不予以重視或不加以控制，將會(huì)對信息系統(tǒng)產(chǎn)生巨大的危害。評(píng)估實(shí)施過程可能帶來的風(fēng)險(xiǎn)有：

（1）評(píng)估工具會(huì)產(chǎn)生大量數(shù)據(jù)包和一些非正常數(shù)據(jù)，可能會(huì)對網(wǎng)絡(luò)和應(yīng)用系統(tǒng)造成影響。

（2）人工審計(jì)過程中可能出現(xiàn)誤操作，對系統(tǒng)造成嚴(yán)重危害。

（3）如果評(píng)估過程有滲透測試，本身也是模擬系統(tǒng)攻擊，如果不嚴(yán)格控制，將會(huì)造成危害。

（4）評(píng)估人員可能會(huì)接觸到信息系統(tǒng)的保密內(nèi)容，如果對人員控制不嚴(yán)，可能會(huì)造成泄密，從而影響系統(tǒng)安全。

2.7.2 評(píng)估實(shí)施過程應(yīng)注意的問題

（1）在深入了解其工作機(jī)制的前提下謹(jǐn)慎使用評(píng)估工具。

（2）在評(píng)估實(shí)施前，雙方應(yīng)簽訂保密協(xié)議或保密約定。

（3）對評(píng)估涉及的信息系統(tǒng)制定相應(yīng)的應(yīng)急預(yù)案。

（4）評(píng)估實(shí)施過程中應(yīng)嚴(yán)格遵守“兩票”制度。

（5）人工審計(jì)過程中應(yīng)注意不修改任何系統(tǒng)和服務(wù)配置，不留下任何臨時(shí)文件。

（6）滲透測試前應(yīng)做好滲透方案并與管理員充分交流，做到各個(gè)環(huán)節(jié)都在可控范圍內(nèi)。

3 結(jié)論

信息安全風(fēng)險(xiǎn)評(píng)估是發(fā)現(xiàn)安全問題和缺陷、彌補(bǔ)安全漏洞、確保系統(tǒng)穩(wěn)定運(yùn)行的有效手段，建議電力企業(yè)要定期進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。

通過風(fēng)險(xiǎn)評(píng)估實(shí)踐發(fā)現(xiàn)以下方面有待改進(jìn)：

（1）缺乏有效的管控手段對評(píng)估流程進(jìn)行管控，特別是對評(píng)估中產(chǎn)生的大量過程文檔的控制。應(yīng)考慮引入自動(dòng)化風(fēng)險(xiǎn)評(píng)估管理工具，實(shí)現(xiàn)流程管控、文檔管理、風(fēng)險(xiǎn)計(jì)算和分析及評(píng)估報(bào)告模板自動(dòng)生成等功能。

（2）信息安全的專業(yè)知識(shí)和技能水平有待提高。風(fēng)險(xiǎn)評(píng)估的核心是找出系統(tǒng)的弱點(diǎn)，需要的不僅是方法、工具，更多的是評(píng)估者自身的信息安全專業(yè)能力，這直接關(guān)系到風(fēng)險(xiǎn)評(píng)估的效果。

[1]范紅，馮登國.信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施教程[M].北京：清華大學(xué)出版社，2007.

[2]王英梅，王勝開.信息安全風(fēng)險(xiǎn)評(píng)估[M].北京：電子工業(yè)出版社，2007.

[3]黃成哲.信息安全風(fēng)險(xiǎn)評(píng)估工具綜述[J].黑龍江工程學(xué)院學(xué)報(bào)，2006（1）∶46-47.

[4]郭曙光.信息安全評(píng)估標(biāo)準(zhǔn)研究與比較[J].信息技術(shù)與標(biāo)準(zhǔn)化，2007（11）∶28-29.